Відео: Playing Minecraft As A HACKER! (Листопад 2024)
Ви, мабуть, стикалися з однією із схем аутентифікації веб-сайтів, яка працює, надсилаючи одноразовий код на ваш смартфон та вводячи його в Інтернет. Приклад мобільних номерів аутентифікації транзакцій (mTAN), які використовуються багатьма банками. Google Authenticator дозволяє таким же чином захищати ваш акаунт Gmail, а також підтримують його різні сервіси - наприклад, LastPass. На жаль, погані хлопці вже знають, як підривати цей тип аутентифікації. Програма автентифікації TextKey - це новий підхід, який захищає всі етапи процесу аутентифікації.
Переверніть його
Ідентифікація SMS у старому стилі надсилає цей одноразовий код на зареєстрований мобільний номер користувача. Немає можливості бути впевненим, що код не виявився зловмисним програмним забезпеченням або перехоплений за допомогою клону телефону. Далі користувач вводить код у браузер. Якщо ПК заражений, транзакція може бути порушена. Насправді, варіант Zeus під назвою zitmo (для "Зевс у мобільному") здійснює атаку команди тегів, при цьому один компонент на ПК та один на мобільному телефоні співпрацюють, щоб викрасти ваші облікові дані та ваші гроші.
TextKey повертає весь процес. Це нічого не повідомляє вам. Натомість він відображає PIN-код після введення свого імені користувача та пароля та просить вас ввести цей PIN-код на вказаний короткий код. Мобільні оператори працюють дуже важко, щоб переконатися, що один номер телефону відповідає точно одному пристрою, тому якщо сервер TextKey взагалі отримає повідомлення, це означає, що оператор вже підтвердив номер телефону та UDID телефону. Тут же TextKey отримує два доданих коефіцієнта аутентифікації безкоштовно!
PIN-код кожен раз відрізняється, і він дійсний лише пару хвилин. Короткий код теж змінюється. А веб-сайт, що використовує TextKey для аутентифікації, може зажадати від кожного користувача створити персональний PIN-код, який потрібно додати до початку або в кінці одноразового PIN-коду.
Що станеться, якщо співробітник плече переглядає екран за допомогою PIN-коду та короткого коду, або шкідлива програма повідомляє про свою активність надсилання повідомлень власникові? Якщо система TextKey отримує правильний PIN-код від неправильного номера телефону, вона не просто відкидає аутентифікацію. Він також записує номер телефону як шахрайство, тому власник сайту може вжити відповідних заходів.
Натисніть це посилання, щоб спробувати TextKey. Для демонстраційних цілей ви вводите свій номер телефону; в реальній ситуації число буде частиною вашого профілю користувача. Зауважте, що ви можете викликати попередження про шахрайство, ввівши номер, відмінний від вашого.
Як ви це отримуєте
На жаль, TextKey - це не те, що можна реалізувати як споживач. Ви можете скористатися ним лише у тому випадку, якщо банк чи інший захищений сайт його застосували. Малий бізнес може укласти контракт на аутентифікацію TextKey за принципом безпеки як послуга, сплачуючи від 5 доларів до 0, 50 долара на кожного користувача в місяць, залежно від кількості користувачів. Це річна щомісячна плата за будь-яку кількість входів. Операції великого масштабу, на яких розміщені власні сервери TextKey, сплачують плату за встановлення, а також плату за місяць.
Ця схема може бути не на 100 відсотків нездатною, але вона значно жорсткіша, ніж автентифікація SMS від старої школи. Це виходить за рамки двофакторного; TextPower називає це "коефіцієнтом омні". Ви повинні знати пароль, володіти телефоном з правильним UDID, ввести відображений PIN-код, додатково додати свій персональний PIN-код, надіслати текст зі свого зареєстрованого номера телефону та використовувати випадковий короткий код у якості місця призначення. Зіткнувшись із цим, середній хакер, ймовірно, скориться та зламає кілька банківських mTAN.